我和Windows 域具有多个域控制器 (DC)。我希望删除其中一些,但我知道有些应用程序被硬编码为使用特定域控制器进行身份验证。但我不知道这些应用程序是什么。我如何确定哪些应用程序可以设置为使用单个域控制器,以便在该 DC 脱机时防止中断?
答案1
关闭每个 DC 几天并等待尖叫声。
说实话,这是唯一的方法。
无论是谁/任何想要与 Active Directory 对话的人都应该能够使用以下方式找到域控制器正确的流程但有些应用程序开发人员确实愚蠢到想要一个静态定义的 DC;好吧,这是他们的错,他们应该为此付出代价。
但是,作为 AD 管理员,您完全无法知道应用程序是否正在与特定 DC 通信,因为它实际上以正确的方式查找了它,或者因为有人静态地配置了它。
遗憾的是,关闭每个 DC 并检查是否有任何东西停止工作是唯一的方法。
答案2
尝试识别这些服务器的另一种方法可能是在域控制器上运行类似网络监视器的程序并运行捕获,过滤身份验证流量。然后,您可以进一步按服务器的 IP 地址进行过滤,以缩小显示的结果。诀窍是确定哪些身份验证流量与您的应用程序相关。查找AS Request Cname包含用户名的流量(如下面的屏幕截图所示),然后进行调查。诚然,我从来没有这样做过,但这肯定是我会尝试的一种方法。
答案3
您可以做的一件事是删除 A 记录和其他 DNS 助记符。这将导致 DC 的常规 DNS 记录未注册,并且不会返回正常身份验证或组策略连接。然后运行数据包捕获以识别任何流量可能来自何处。
如何优化位于客户端站点之外的域控制器或全局目录的位置
http://support.microsoft.com/kb/306602
这通常是针对中心辐射型拓扑所做的操作。对于辐射型站点,您不希望 DC 注册 DNS 记录,以便只有该站点中的客户端才能连接到它。配置此项后,域控制器的正常身份验证流量应最小化。
答案4
- 在您的环境中添加新的域控制器(如果您对应用程序兼容性有信心,则可以使用相同的操作系统版本或新的操作系统版本)。
- 在 DNS 中屏蔽旧的域控制器,这意味着删除 NetLogon 服务注册的所有内容(不是所有内容,GUID 记录用于复制,所以我们必须保留这一个)。
- 等到客户端的缓存过期,TADA!您看到的每个 LDAP 查询都到达屏蔽的 DC,每个身份验证请求都来自未利用 DCLocator 的应用程序和服务器,最终具有硬编码配置。由于隐藏的域控制器仍在运行和复制,因此它不会影响使用它们的硬编码应用程序。